Seguridad de VPN de sitio a sitio vs VPN de cliente

5

Mi empresa proporciona un servicio a otra empresa y se conecta a través de VPN varias veces al día. El servicio implica acceder a una aplicación de intranet basada en web y copiar archivos de un servidor a otro cuando sea necesario.

Actualmente, dos usuarios se conectan desde su PC al firewall de Cisco de la empresa utilizando el cliente VPN de Cisco cuando lo necesitan. Los PC están apagados fuera de las horas de oficina. La contraseña de VPN se almacena en la PC con una herramienta dedicada que encripta con SHA-256.

Ahora, la firma dice que debemos cambiar a una VPN de sitio a sitio, ya que lo consideran más fácil de controlar. Nos preocupa principalmente porque tememos convertirnos en parte integral de su red y ser parcialmente responsables de su seguridad. Creemos que es más fácil que un pirata informático ingrese a nuestro cortafuegos el sábado por la noche y penetre en la red de la empresa, en lugar de que un pirata informático ingrese a nuestra red durante el día y llegue a la PC correcta en el momento adecuado cuando la VPN está en uso. / p>

Suponiendo que tenemos un firewall decente sin vulnerabilidades conocidas (y ambas compañías no son objetivos de alto perfil), ¿estamos preocupados por este cambio? ¿Hay otros inconvenientes de usar sitio a sitio en comparación con el cliente?

    
pregunta chris 29.09.2016 - 12:05
fuente

2 respuestas

1

Con respecto a:

  

Nos preocupa principalmente porque tememos que nos convirtamos en parte integral de su red y en parte somos responsables de su seguridad.

A menos que tenga un requisito contractual que imponga esa responsabilidad, debe seguir siendo su riesgo ... no hay nada que impida que las conexiones entrantes de la VPN estén sujetas a controles para limitar el acceso / servicios ... esto ya debería estar en su lugar y, por lo tanto, pasar de la VPN del dispositivo cliente a la VPN del sitio no debe introducir un cambio al respecto.

Su arquitectura no debe depender totalmente de la seguridad de su red (aunque consulte a continuación).

Con respecto a:

  

Creemos que es más fácil que un pirata informático ingrese a nuestro servidor de seguridad el sábado por la noche y penetre en la red de la empresa, en lugar de que un pirata informático ingrese a nuestra red durante el día y llegue a la PC correcta en el momento adecuado cuando la VPN está en funcionamiento. utilizar.

Bien podría ser que, desde su perspectiva, usted sea correcto (aunque probablemente sea una falsa sensación de seguridad en la realidad). Pero dependiendo de cómo sus computadoras portátiles acceden a Internet, es posible que la organización a la que se está conectando tenga que aceptar conexiones de una amplia gama de direcciones, por lo tanto, si pueden restringirla a una (conocida) dirección IP asociada con una VPN de sitio, están reduciendo potencialmente la superficie de ataque aplicable a su red.

Las VPN del sitio del sitio pueden tener beneficios de configuración en comparación con las VPN del sitio del cliente, pero depende del escenario si éstas son aplicables.

Si están haciendo las cosas correctamente, le impondrán obligaciones legales por permitir la conexión a su sistema (parches, AV, etc.).

Si le preocupa que pueda ser hackeado, concentraría su atención en este riesgo en lugar del tipo de VPN que se propone, idealmente, debería comprender lo suficiente sobre sus controles para tener confianza en la seguridad de su sistema.

    
respondido por el R15 29.09.2016 - 14:40
fuente
2

Hmmm.

Lo que dices "usando el cliente de Cisco" me hace pensar que ya estás usando una VPN.

Cuando usted es el proveedor de servicios, parece extraño que su cliente deba dictar cómo ofrecer ese servicio. Particularmente si se trata de un servicio puramente técnico (por ejemplo, una aplicación basada en web). Puedo entender que si se trata de un servicio más de negocios, como la administración de múltiples dispositivos dentro de la red de los clientes, una VPN sería la solución correcta, pero para algún tipo de servicio de aplicación, entonces una VPN es el enfoque incorrecto. demasiado acceso, que luego debe adaptar al mínimo necesario para realizar la función. OTOH utilizando un servicio envuelto TLS, con validación de certificado de cliente, lo protege a usted y a su cliente.

Dado que parece estar en la situación en la que su cliente piensa que un sitio a otro es la única solución viable, es posible, por supuesto, configurar una "red" en su extremo que, desde su perspectiva, parezca sea parte de la red del cliente y simplemente implemente una mejor solución de conectividad en su red real. Pero esto es principalmente una conjetura: no sé qué es este servicio ni las motivaciones de sus clientes; realmente necesita hablar con ellos y entender el problema correctamente (o proporcionar más información aquí).

    
respondido por el symcbean 29.09.2016 - 13:33
fuente

Lea otras preguntas en las etiquetas